域名劫持原理

1、DNS劫持的基本原理

DNS劫持又稱域名劫持，是指在劫持的網路范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什麼都不做使請求失去響應，其效果就是對特定的網路不能反應或訪問的是假網址。
DNS劫持的原理簡單來講就是把網路地址（域名，以一個字元串的形式）對應到真實的計算機能夠識別的網路地址（IP地址），以便計算機能夠進一步通信，傳遞網址和內容等。
由於域名劫持往往只能在特定的被劫持的網路范圍內進行，所以在此范圍外的域名伺服器(DNS)能夠返回正常的IP地址，高級用戶可以在網路設置把DNS指向這些正常的域名伺服器以實現對網址的正常訪問。
所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

2、詳解域名劫持原理與域名挾持的幾種方法

域名挾持
有新手可能不知道域名挾持是什麼，小編簡單介紹下。
域名劫持是互聯網攻擊的一種方式，通過攻擊域名解析伺服器（DNS），或偽造域名解析伺服器（DNS）的方法，把目標網站域名解析到錯誤的地址從而實現用戶無法訪問目標網站的目的。
域名挾持
有的人認為挾持域名就是修改DNS而已，實際上還有其他方法，就連百度也被挾持過。
挾持歷史事件
2010年1月12日上午7點鍾開始，中國最大中文搜索引擎「百度」遭到黑客攻擊，長時間無法正常訪問。主要表現為跳轉到一雅虎出錯頁面、伊朗網軍圖片，出現「天外符號」等，范圍涉及四川、福建、江蘇、吉林、浙江、北京、廣東等國內絕大部分省市。
2012年10月24日。社會化分享網站Diigo域名被盜，導致500萬用戶無法使用網站。
域名盜竊，也叫做域名劫持，不是新技術。早在2005年，SSAC報告就指出了多起域名劫持事件。域名劫持被定義為：從域名持有者獲得非法域名的控制權
本文介紹了域名劫持的幾種技術
有幾種不同的劫持方法，1假扮域名注冊人和域名注冊商通信.2是偽造域名注冊人在注冊商處的賬戶信息，3.是偽造域名注冊人的域名轉移請求。4.是直接進行一次域名轉移請求。5是修改域名的DNS記錄
1．假扮域名注冊人和域名注冊商通信
這類域名盜竊包括使用偽造的傳真，郵件等來修改域名注冊信息，有時候，受害者公司的標識之類的也會用上。增加可信度。
當時一名域名劫持者使得注冊服務提供商相信了他的身份，然後修改了該公司的域名管理員郵件信息。然後攻擊者使用管理員郵件提交了密碼重設請求。最後。攻擊者登錄域名服務商。修改密碼。更改DNS記錄,然後指向自己的伺服器。
2．是偽造域名注冊人在注冊商處的賬戶信息
攻擊者偽造域名注冊人的郵件和注冊商聯系。然後賣掉域名或者是讓買家相信自己就是域名管理員。然後可以獲利
3．是偽造域名注冊人的域名轉移請求。
這類攻擊通常是攻擊者提交一個偽造的域名轉讓請求，來控制域名信息。
4．是直接進行一次域名轉移請求
這類攻擊有可能改dns，也有可能不改，如果不改的話。是很隱蔽的。但最終盜竊者的目的就是賣掉域名。
兩個域名是由美國一家公司通過godaddy注冊管理的。結果某一天，一個盜竊者使用該公司管理員的帳號密碼登錄到域名管理商，執行了轉移請求。注意。他沒有更改dns記錄。域名在轉移期間。一切服務都沒有受到影響。
5．是修改域名的DNS記錄
未經授權的DNS配置更改導致DNS欺騙攻擊。（也稱作DNS緩存投毒攻擊）。這里。數據被存入域名伺服器的緩存資料庫里，域名會被解析成一個錯誤的ip，或是解析到另一個ip，典型的一次攻擊是1997年EugeneKashpureff黑闊通過該方法重定向了InterNIC網站。
在黑客領域，域名挾持更多是用來挾持流量用的，不少大公司也被挾持過。
域名挾持
後來忍無可忍的六家互聯網公司(今日頭條、美團大眾點評網、360、騰訊、微博、小米科技)共同發表聯合聲明：呼籲有關運營商嚴格打擊流量劫持問題，重視互聯網公司被流量劫持可能導致的嚴重後果。

3、DNS 被劫持的原理，以及解決方法 ？

dns劫持原理：
IIS7網站監控
測網站是否被劫持、域名是否被牆、DNS污染檢測等信息。
現行標准中 DNS 查詢通常使用 UDP 協議並且沒有任何驗證機制，並且根據慣例查詢者會接受第一個返回的結果而拋棄之後的。因此只需監控 53 埠（DNS 標准埠）的 UDP查詢數據報並分析，一旦發現敏感查詢，則搶先向查詢者返回一個偽造的錯誤結果，從而實現 DNS 污染。
DNS污染並無法阻止正確的DNS解析結果返回，但由於旁路產生的數據包發回的速度較國外DNS伺服器發回的快，操作系統認為第一個收到的數據包就是返回結果，從而忽略其後收到的數據包，從而使得DNS污染得逞。

4、DNS域名劫持是怎樣實現的？

由於域名劫持只能在特定的網路范圍內進行，所以范圍外的域名伺服器(DNS)能還回正常IP地址。攻擊者正是利用此點在范圍內封鎖正常DNS的IP地址，使用域名劫持技術，通過冒充原域名以E-MAIL方式修改公司的注冊域名記錄，或將域名轉讓到其他組織，通過修改注冊信息後在所指定的DNS伺服器加進該域名記錄，讓原域名指向另一IP的伺服器，讓多數網名無法正確訪問，從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址，其實施步驟如下：
一、獲取劫持域名注冊信息：首先攻擊者會訪問域名查詢站點，通過MAKE CHANGES功能，輸入要查詢的域名以取得該域名注冊信息。
二、控制該域名的E-MAIL帳號：此時攻擊者會利用社會工程學或暴力破解學進行該E-MAIL密碼破解，有能力的攻擊者將直接對該E-MAIL進行入侵行為，以獲取所需信息。
三、修改注冊信息：當攻擊者破獲了E-MAIL後，會利用相關的MAKE CHANGES功能修改該域名的注冊信息，包括擁有者信息，DNS伺服器信息等。
四、使用E-MAIL收發確認函：此時的攻擊者會在信件帳號的真正擁有者之前，截獲網路公司回潰的網路確認注冊信息更改件，並進行回件確認，隨後網路公司將再次回潰成攻修改信件，此時攻擊者成功劫持域名。

5、黑客是怎樣實施域名劫持攻擊的

原理：
域名解析（DNS）的基本原理是把網路地址（域名，以一個字元串的形式）對應到真實的計算機能夠識別的網路地址（IP地址，比如216.239.53.99 這樣的形式），以便計算機能夠進一步通信，傳遞網址和內容等。
由於域名劫持往往只能在特定的被劫持的網路范圍內進行，所以在此范圍外的域名伺服器(DNS)能夠返回正常的IP地址，高級用戶可以在網路設置把DNS指向這些正常的域名伺服器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址，則可以直接用此IP代替域名後進行訪問。比如訪問谷歌 ，可以把訪問改為http://216.239.53.99/ ，從而繞開域名劫持。

過程：
由於域名劫持只能在特定的網路范圍內進行，所以范圍外的域名伺服器(DNS)能返回正常IP地址。攻擊者正是利用此點在范圍內封鎖正常DNS的IP地址，使用域名劫持技術，通過冒充原域名以E-MAIL方式修改公司的注冊域名記錄，或將域名轉讓到其他組織，通過修改注冊信息後在所指定的DNS伺服器加進該域名記錄，讓原域名指向另一IP的伺服器，讓多數網民無法正確訪問，從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址，其實施步驟如下：
一、獲取劫持域名注冊信息：首先攻擊者會訪問域名查詢站點，通過MAKE CHANGES功能，輸入要查詢的域名以取得該域名注冊信息。
二、控制該域名的E-MAIL帳號：此時攻擊者會利用社會工程學或暴力破解學進行該E-MAIL密碼破解，有能力的攻擊者將直接對該E-MAIL進行入侵行為，以獲取所需信息。
三、修改注冊信息：當攻擊者破獲了E-MAIL後，會利用相關的MAKE CHANGES功能修改該域名的注冊信息，包括擁有者信息，DNS伺服器信息等。
四、使用E-MAIL收發確認函：此時的攻擊者會在信件帳號的真正擁有者之前，截獲網路公司回饋的網路確認注冊信息更改件，並進行回件確認，隨後網路公司將再次回饋成功修改信件，此時攻擊者成功劫持域名。

缺點：
它不是很穩定，在某些網路速度快的地方，真實的IP地址返回得比竊持軟體提供的假地址要快，因為監測和返回這么巨大的數據流量也是要花費一定時間的。
在網上查詢域名的正確IP非常容易。一個是利用海外的一些在線IP地址查詢服務，可以查找到網站的真實IP地址。在Google上搜索"nslookup"，會找到更多類似的服務。
參考資料：全球互聯網的13台DNS根伺服器分布

6、劫持網路的原理是是

您說的是域名劫持還是鏡像劫持啊
鏡像劫持說白了是通過注冊表，修改系統文件的關聯，詳細的來說：所謂的鏡像劫持，就是在注冊表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]處新建一個以殺毒軟體主程序命名的項，例如Rav.exe。然後再創建一個子鍵「Debugger="C:\WINDOWS\system32\drivers\ceffen.com」。以後只要用戶雙擊 Rav.exe就會運行OSO的病毒文件ceffen.com，類似文件關聯的效果。當然也可以是其他的拓展名。

另外域名劫持也是木馬病毒常用的方法，就是修改Hosts文件，讓正常的域名解析跳轉到不正常的網站上。因為瀏覽器在解析網站的時候，會先去Hosts文件中檢查是否存在對應的網址地址，存在的話會直接去讀取hosts中對應的網站地址所映射的地址，大多數都是把域名映射到ip地址上，這樣瀏覽器在向指定網站發出請求的時候，http包頭會存放一個目的地ip地址，由於正常沒有在hosts中做映射的網站是通過DNS伺服器解析域名的，所以http包頭的目的地地址會是dns伺服器解析的IP地址，而在hosts中做了修改，就是修改的IP地址了。

很多惡意軟體，就是劫持一些文件打開的關聯方式到病毒本身，然後通過修改hosts讓正常的網站跳轉進釣魚網站，從而進一步感染用戶的系統。鏡像劫持就導致了病毒的難被殺毒軟體查殺和引導運行的目的。而域名劫持則是更進一步的感染。

7、域名被劫持了怎麼處理

網站域名被劫持怎麼辦？打開訪問某一網站域名時，發現頁面內容跳轉至另外一個不相關的網站，這就是遭遇了域名DNS劫持，因為大多數人並不了解其中的原理，所以通常大家都稱為網站被劫持。

通常，針對域名劫持現象並沒有什麼有效的解決辦法，因為劫持現象一般發生在為大家提供上網環境的某服務提供方，一旦被劫持除非劫持方主動取消否則就只能更換域名這一種方法。

雖然域名在被劫持後無法解決，但是我們可以在域名DNS未被劫持之前進行主動防禦，降低避免被DNS劫持的概率。

方法一、安裝ssl證書

方法二、將你的域名添加到該平台進行解析（目前支持免費解析），

這里注意一定要確保域名狀態為正常（剛更改NS地址的大約5~10分鍾即可生效）

根據該平台的解析要求到域名注冊服務商那裡去修改域名的NS地址，默認地址在解析控制面板的底部。

域名DNS的設置

設置防劫持

找到左側菜單欄中，一個帶有閃電符號的雲加速菜單，點擊進行綁定域名

綁定域名時，可以選擇解析記錄的類型，目前支持A記錄和CNAME.

還可以填寫域名解析的地址到最下面的方框中，用來監測全國各地的實時解析結果是否被劫持.

完成以上操作後，該域名的劫持防禦設置就已經完成了，該平台會根據你在雲加速菜單中綁定的域名，將解析記錄全天24小時不斷的主動推送到全國各地的DNS伺服器，從而防止域名解析記錄被劫持篡改.

另外，可以點擊雲加速信息查看域名在全國各地的解析速度和是否被劫持的情況.

8、內網緩存技術，和域名劫持技術都是怎麼回事？原理如何？

希望咱倆說的是一碼事。
內網緩存指的是，當第一次訪問某網站時，內網伺服器緩存此網站相關內容一段時間（TTL）只要在這個時間段內，再次訪問此網站時，使用緩存直接展示，數據並不向外網伺服器傳送，目的是為了快速的訪問網站。
域名劫持應該就是更改本地的或域名的主DNS伺服器，並給出訪問受限域名或特定域名的反饋結果。比較明顯的案例就是，打開一個網站域名，提示域名已過期，然後這個頁面上還有些廣告，可產生些小流量，以賺取些廣告費用。

9、什麼叫域名劫持 和域名解析有什麼區別

域名劫持就是在劫持的網路范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則直接返回假的IP地址或者什麼也不做使得請求失去響應，其效果就是對特定的網址不能訪問或訪問的是假網址。
簡單的說，域名劫持就是互聯網攻擊的一種方式，通過攻擊域名解析伺服器（DNS），或偽造域名解析伺服器（DNS）的方法，把目標網站域名解析到錯誤的地址而達到無法訪問目標網站的目的。
域名解析（DNS）的基本原理是把網路地址對應到真實的計算機能夠識別的網路地址（IP地址，比如216.239.53.99這樣的形式），以便計算機能夠進一步通信，傳遞網址和內容等。

由於域名劫持往往只能在特定的被劫持的網路范圍內進行，所以在此范圍外的域名伺服器（DNS）能夠返回正常的IP地址，高級用戶可以在網路設置把DNS指向這些正常的域名伺服器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址，則可以直接用此IP代替域名後進行訪問。

10、DNS劫持怎麼實現

DNS劫持:
DNS劫持又稱域名劫持，是指在劫持的網路范圍內攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什麼都不做使請求失去響應，其效果就是對特定的網路不能反應或訪問的是假網址。
技術實現:
理論上說，運營商掌握了HTML頁面的全部代碼，它可以做任何的事情，真正無縫地植入廣告，然後返還給用戶。但是，這種廣告的植入是批量的行為，如果要針對不同的網站頁面分別去設置廣告代碼，代價未免太高了一點。另一方面，植入的JavaScript代碼片段很容易受到不同DOM環境和
JavaScript代碼環境本身的影響，而植入廣告，不能影響到原有網站頁面的展示和行為。為了盡可能地減少植入廣告對原有網站頁面的影響，運營商通常會通過把原有網站頁面放置到一個和原頁面相同大小的iFrame裡面去，通過iFrame來隔離廣告代碼對原有頁面的影響。
基本原理:
DNS(域名系統)的作用是把網路地址(域名，以一個字元串的形式)對應到真實的計算機能夠識別的網路地址(IP地址)，以便計算機能夠進一步通信，傳遞網址和內容等。由於域名劫持往往只能在特定的被劫持的網路范圍內進行，所以在此范圍外的域名伺服器(DNS)能夠返回正常的IP地址，高級用戶可以在網路設置把DNS指向這些正常的域名伺服器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址，則可以直接用此IP代替域名後進行訪問。比如訪問百度域名，可以把訪問改為202.108.22.5，從而繞開域名劫持